记录一下学习PDO技术防范SQL注入的方法

最近学习了使用PDO技术防范SQL注入的方法,在博客里当做一次笔记。若果有新的感悟在来添上一笔,毕竟也是刚开始学习。
一、 什么是PDO

创新互联专注骨干网络服务器租用十多年,服务更有保障!服务器租用,成都服务器托管 成都服务器租用,成都服务器托管,骨干网络带宽,享受低延迟,高速访问。灵活、实现低成本的共享或公网数据中心高速带宽的专属高性能服务器。

PDO全名PHP Data Object
PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。
PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。

二、如何去使用PDO防范SQL注入
/
防范sql注入这里使用quote()方法过滤特殊字符和通过预处理的一些方式以及bindParameter()方法绑定参数来防止SQL注入
/
三、 使用quate()方法防止sql注入。

Quate()方法返回带引号的字符串,过滤特殊字符

1、首先创建一个登陆界面来提交用户名和密码。




    


        


2、然后创建后台处理PHP文件,获取用户名和密码,并在数据库中查询。基本的查询方法来查询。

";
    $row=$pdo->query($sql);
    foreach ($row as $key => $value) {
        print_r($value);
    }

}catch(POOException $e){
    echo $e->getMessage();
}

这个处理界面是由SQL注入的界面。
3、我们来测试一下
(1)在文本框中输入正确的用户名和密码,返回正常的信息
记录一下学习PDO技术防范SQL注入的方法
但是当我们进行注入的时候,返回的信息:
(2)用户名输入’ or 1=1 #,密码随便输入
记录一下学习PDO技术防范SQL注入的方法
将数据库中的用户信息以数组的形式全部显示了出来。
(3)我们在数据库中执行这串查询语句
记录一下学习PDO技术防范SQL注入的方法
可以看到,数据库照常显示,这也是sql注入一个很大的危害。
4、接下来我们通过quote()方法来防止SQL注入
通过以下代码,将new的对象$pdo通过调用quote()方法来重新返回用户输入的字符串,然后在通过查询语句,去查询数据库中的数据。

quote($username);
     $password=$pdo->quote($password);
    $sql="select * from user where name='{$username}' and password='{$password}'";
    echo $sql."
"; $row=$pdo->query($sql); foreach ($row as $key => $value) { print_r($value); } }catch(POOException $e){ echo $e->getMessage(); }

5、我们来使用同样的方法来测试一下能不能防范sql注入呢?
(1)正确用户名和正确密码验证:
记录一下学习PDO技术防范SQL注入的方法
(2)正确用户名和错误密码访问
记录一下学习PDO技术防范SQL注入的方法
查询不到数据
(3)使用sql注入:
记录一下学习PDO技术防范SQL注入的方法
查询失败,我们可以清楚的看到我们输入的引号在前面自动的加上了‘\’,将引号给转义,失去了原来的作用。
(4)同时我们在数据库中执行一下这个语句。
记录一下学习PDO技术防范SQL注入的方法
查询出错。所以quote()方法能够有效的防止sql注入
四、 使用预处理语句防止SQL注入
预处理语句中占位符形式来防止SQL注入。占位符有两种形式,一种是通过命名参数,另一种是通过问好占位符的形式
1、通过命名参数防止注入
(1)首先在原来基础的源码上改正查询语句。改为:
Select * from where name=:username and password=:password
整个源码:

prepare($sql);
    $stmt->execute(array(":username"=>$username,":password"=>$password));
    echo $stmt->rowCount();
}catch(PDOException $e){
    echo $e->getMessage();
}
?>

解释:
a):命名用户名参数:username密码:password。
b):通过调用rowCount()方法,查看返回受sql语句影响的行数,返回0语句执行失败,大于等于1,语句执行成功。
测试:
(1)正常访问:用户名zhangsan,密码:123
记录一下学习PDO技术防范SQL注入的方法
(2)错误密码访问:
记录一下学习PDO技术防范SQL注入的方法
(3)Sql注入语句访问:
记录一下学习PDO技术防范SQL注入的方法
防止注入失败

2、通过问号(?)占位符防止注入
(1)修改sql查询语句:
Select * from user where name=? and password=?
完整代码:

prepare($sql);
    $stmt->execute(array($username,$password));
    echo $stmt->rowCount();

}catch(PDOException $e){
    echo $e->getMessage();
}
?>

解释:通过execute()方法直接传递数组array($username,$password)给sql语句查询。
测试:
(1)正常访问:用户名:lisi,密码:abc
记录一下学习PDO技术防范SQL注入的方法
(2)错误用户名或密码访问
记录一下学习PDO技术防范SQL注入的方法
(3)Sql注入:
记录一下学习PDO技术防范SQL注入的方法
注入失败
五、 通过bindParam()方法绑定参数防御SQL注入。

prepare($sql);
    $stmt->bindParam(":username",$username,PDO::PARAM_STR);
    $stmt->bindParam(":password",$password,PDO::PARAM_STR);
    $stmt->execute();
    echo $stmt->rowCount();

}catch(PDOException $e){
    echo $e->getMessage();
}
?>

(1)关键代码:
$stmt->bindParam(":username",$username,PDO::PARAM_STR);
$stmt->bindParam(":password",$password,PDO::PARAM_STR);

解释:
a)::username和:password为命名参数
b):$username;$password为获取的变量,即用户名和密码。
c):PDO::PARAM_STR,表示参数变量的值一定要为字符串,即绑定参数类型为字符串。在bindparam()方法中,默认绑定的参数类型就是字符串。当你要接受×××的时候可以绑定参数为PDO::PARAM_INT.
测试:
(1)正常访问测试:

记录一下学习PDO技术防范SQL注入的方法
(2)测试sql注入:

记录一下学习PDO技术防范SQL注入的方法

当做是一个笔记吧还有很多的知识点没有写出来,以后再慢慢补充吧!!!


当前名称:记录一下学习PDO技术防范SQL注入的方法
分享地址:http://pwwzsj.com/article/gpehie.html